-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Ciao! Sono già (purtroppo =D) passato di qua perché tempo addietro mi beccai il virus della polizia o quel che è, e tu mi salvasti rimuovendolo con FSRT.
Ora sono qui perchè da ieri mi sono beccato qualcosa di simile anche se meno grave.
Praticamente in momenti apparentemente a caso mi si apre un popup con il sito adultcamera.info, indipendemente dai miei click sul web. Io lo chiudo e finisce lì, ma non esite che sta cosa rimaga sul mio PC -.-''.
Ricapitolando, ho provato le seguenti:
-Ccleaner, scansionato app e registro
-Malwarebytes, scansionato e pulito
-Antivirus gira ma (ovviamente in questo caso) non segnala nulla
-Adwcleaner, scansionato, all'inizio mi trovava una cartella con un nomaccio di lettere a caso, che penso sia collegata con l'estensione add-to-pocket di chrome. Te lo dico perchè dopo aver rimosso questa cartella l'estensione ha smesso di funzionare bene, che sia un caso? Io nel dubbio ho rimosso l'estensione e quella cartella non compare più in adwcleaner. Inoltre mi trovava due default search di chrome problematiche, ovver softsonic e 1-delta search, ma erano semplicemente opzioni di ricerca predefinita e non erano in uso. Togliendole con adwcleaner, quando riavviavo chrome loro tornavano, quindi ho fatto che togliere manualmente, e questo è risolto. A questo punto Adwcleaner non trova niente da rimuovere, ma ti ho messo lo stesso il log.
-Ho fatto la scansione di OTL, settato come hai detto tu, ti posto il log richiesto.
Scusa se mi sono dilungato, ma era per cercare di facilitarti il lavoro, non ne posso più di queste porcate sul pc.
Grazie in anticipo!File Allegato
|
|
|
| .
|
-
|
| .
|
Master Malware Expert
- Group
- Administrator
- Posts
- 4,519
- Location
- Poggio Mirteto(RI)
- Status
- Anonymous
|
|
EDIT
IMPORTANTE DA LEGGERE
Per tutti coloro che hanno il problema esposto nel topic seguire la guida che ho redatto per risolvere il problema
INFEZIONE AL ROUTER
N.b.Se avete il problema dopo diverso tempo da questo post vi conviene allegare il log di Farbar recovery scan tool per controllare sr l'infezione è mutata.
Scarica il file in allegato sul desktop.
Copia il contenuto interamente nel box bianco di OTL.
Clicca quindi su RUN FIX.
Allega il log generato.
Fammi sapere se il problema si ripresenta.
In tal caso verifica se anche altri browser oltre chrome sono interessati.
Edited by vicky67 - 20/8/2015, 11:12File Allegato
|
|
|
| .
|
-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Ciao, questo è il log generato. Cosa ne pensi?
Spero vivamente di non doverti scrivere che si sia ripresentato il problema.
Per info, come altro browser ho solo IE di default e non lo uso mai.
In ogni caso, grazie davvero, in che mondo si trova sul web cortesia disponibilità e skills ? Grande!File Allegato
|
|
|
| .
|
-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Ciao, scusami il doppio post ma ho brutte notizie. Niente da fare, i popup continua a comparire. Aspetto tue notizie =(
E tra l'altro, è possibile che questi scan mi abbiano fatto casino con MediaFire Desktop? (applicazione desktop di mediafire per cloud) Mi è sparito il collegamento e non mi si avvia più la applicazione. E' possibile che sto malware (o quel che è) sia collegato ad essa?
Ho cercato su google possibili casi di malware con MediaFireDesktop, qualcosa c'è qui, ma mi fa strano che da un app così "attendibile" arrivi robaccia e non so cosa ci azzecchi col mio caso, oltre al fatto che la tengo sempre chiusa, la apro solo se ho roba da uppare in cloud. Mi fa solo strano che abbia smesso di funzionare in corrispondenza con il tuo fix.
Nel dubbio per ora ho cercato di rimuoverla, ma dal pannello di controllo/installaz applicazioni mi ha dato errore, forse già disinstallata, e mi ha solo fatto rimuovere i collegamenti. Quindi ho scaricato l'ultima versione, disinstallato quella presente (che poi era aggiornata ma vabbè), reinstallato l'ultima ed infine rimosso tutto in modo pulito. Infine dato una passata di Ccleaner =D.
Perdona se mi dilungo ma spero di darti info utili.
Dimmi tu che fare,
Grazie
Edited by NikW - 31/1/2015, 02:27
|
|
|
| .
|
-
|
| .
|
Master Malware Expert
- Group
- Administrator
- Posts
- 4,519
- Location
- Poggio Mirteto(RI)
- Status
- Anonymous
|
|
Quell'applicazione te l'avevo fatta rimuovere perché lavora in background quindi non solo quando l'avvii e veniva segnalata come sospetta da alcuni tools.Ma se non ti ha mai dato problemi evidentemente non è lì il problema.
Adesso per scoprire da cosa dipende dato che il log di otl è pulito dobbiamo verificare se il problema è in chrome.
Installa mozilla firefox e fai delle prove controllando se con questo browser escono quelle pagine.
Fai anche per sicurezza una scansione con tdss killer ed allega il log.
le istruzioni sono in guida ai tools rimozione in firma
|
|
|
| .
|
-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Ciao, dunque, anche avendo eliminato dal PC MediaFireDesktop, oggi ho acceso e dopo poco il solito popup è apparso. Ho quindi ora scaricato FireFox e cercherò di navigare un po' a caso qua e là per vedere se esce qualcosa.
Ho anche fatto la scansione con tdss killer, log bianco, zero trovato. Te lo allego. Come diavolo è possibile ?File Allegato
|
|
|
| .
|
-
|
| .
|
Master Malware Expert
- Group
- Administrator
- Posts
- 4,519
- Location
- Poggio Mirteto(RI)
- Status
- Anonymous
|
| |
Verifica con firefox,è probabile che se con firefox il problema non si presenta sia infetto il browser chrome che andrà resettato o disinstallato con tutti i dati di navigazione e reinstallato.
|
|
|
| .
|
-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Ciao, ho navigato un po' con FireFox ed il problema si è presentato nella stessa maniera, nonostante FireFox lo abbia appena installato.
Ho anche fatto pulizia diChrome con il tool beta di google apposito (che azzera il browser e cancella dati e tutto), ma a quanto pare il problema è più generale se il popup esce anche con Firefox.
Incredibile, aspetto tue notizie speranzoso!
Ciao e grazie!
|
|
|
| .
|
-
|
| .
|
Master Malware Expert
- Group
- Administrator
- Posts
- 4,519
- Location
- Poggio Mirteto(RI)
- Status
- Anonymous
|
| |
Fai una scansione con combofix e Farbar recovery scan tool in modalità normale ed allega i log.
|
|
|
| .
|
-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Ciao, dunque, con FRST (64 bit come il mio PC) ho fatto la scansione e ti posto i log.
Con ComboFix non ho potuto fare nulla poiché dice che non è compatibile con il mio sistema operativo che identifica come windows 2000, mentre io ho windows 8.1 completamente aggiornato e legale (giusto per puntualizzare!).
Fammi sapere =(
Grazie di nuovo!File Allegato
|
|
|
| .
|
-
|
| .
|
Master Malware Expert
- Group
- Administrator
- Posts
- 4,519
- Location
- Poggio Mirteto(RI)
- Status
- Anonymous
|
|
Mi è stato utile il log di FRST.Il problema è questo 91.212.124.159
Hai il router e/o la scheda di rete infette con un dns ucraino.
Sai entrare nel router?O meglio sai resettarlo?
Puoi anche controllare nelle proprietà del tcpip4 se hai settato questo indirizzo?
Apri centro di connessioni di rete-modifica impostazioni scheda-vai sulla tua scheda di rete wifi-proprietà-protocolo internet vers.4-controlla se in
"ottieni indirizzo server automaticamente" c'è la spunta.Se c'è vuol dire che il problema è solo nel router che andrà resettato.
|
|
|
| .
|
-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Prima di fare tutto la millesima volta:
Il router l'ho resettato almeno 5 volte in questi gg! cambiato le password e tutto, come diamine è possibile =(. Devo resettarlo in qualche modo particolare? perchè i dns erano a posto in questi giorni! Ora ho controllato e si, ci sono quelli infetti. Procedo all'ennesimo reset ( tengo premuto tasto reset 8-10 sec con router acceso, lui si resetta. Per scrupolo lo spengo, stacco la spina qualche secondo poi riattacco tutto e configuro) Devo cambiare la pass wifi anche o basta quella per entrare nel router? Perchè la pass per entrare nel router è uno sbrego da 14 caratteri fatta con lastpass, quella per il wifi è stupida e semplice.
(da scheda di rete ho tutto " ottieni automaticamente") Come è possibile che sia infetto dopo tutti questi reset? Tutte le volte facevo anche il nslookup e mi dava il valore giusto, per quello ho escluso fosse il router. Ho solo cambiato una volta i dns (prima di avere il problema) e messo per tipo 10 minuti (e non navigato) quelli di google per scaricare una roba (episodio di una cosa che seguo, niente di che). Possibile che lo abbia preso lì? e come è sopravvissuto ai reset del router?
ti allego lo stato ora, con i dns che cercando su whois sono di telecom italia (ho alice telecom), e sono quelli che ho sempre visto in questi giorni
Sono un po' scioccato da tutto ciò O.o
Grazie di nuovo! Non ci fossi tu sarei a piedi =DAttached Image
|
|
|
| .
|
-
|
| .
|
Master Malware Expert
- Group
- Administrator
- Posts
- 4,519
- Location
- Poggio Mirteto(RI)
- Status
- Anonymous
|
|
Su alcuni router ci sono 2 modi per resettarlo dipende dai secondi in cui tieni premuto il pulsante.
Devi eseguire il reset completo.
Se hai effettuato quello completo poi cambia la password d"accesso al router anche se poi non basta solo quello per impedire una nuova reinfettazione.
Segui la mia guida in firma rimozione virus polizia ecc. Alla seconda parte.
Dopo che hai resettato controlla se i dns ricompaiono e verifica il problema delle pagine.
Po metterei in sicurezza il router come da guida.
edit:non avevo visto la tua seconda parte.Non sono al pc.
aCon quei dns vedi se si aprono le pagine adesso
|
|
|
| .
|
-
|
| .
|
Aiutante
- Group
- Member
- Posts
- 408
- Status
- Offline
|
|
Ciao, di nuovo qua.
Purtroppo niente da fare.
Mi si è appena ripresentato il problema. Ho controllato il router, ed i dns sono ancora quelli automatici della telecom. Il comando nslookup mi da quello che deve (Server predefinito: Unknown, roga sotto-> Address: 192.168.1.1)
Per scrupolo ho fatto il test per vedere se il router puo' avere problemi (http://rom-0.cz/index/), ed il risultato è: Address is most likely VULNERABLE. E mi ricordo che quando tempo fa mi hai rimosso il virus polizia di stato, questo link dava che non c'erano problemi (alla fine). Quindi ho guardato per aggiornare il firmware. Il mio modello è il W8961NDdella tp-link, ma è la V1, il cui firmware non viene aggiornato da anni (perchè non più in commercio? dagli articoli che linki sembra per questo motivo). E mi sono ricordato che anche la volta scorsa avevo guardato e non potevo aggiornare perché non presente una nuova versione.
Che devo fare quindi? La procedura di messa in sicurezza manuale per router fuori commercio che è postata nel tuo topic? In ogni caso il popup è tornato
Aspetto tue notizie, =(
Grazie come sempre
Edited by NikW - 1/2/2015, 17:00
|
|
|
| .
|
-
|
| .
|
Master Malware Expert
- Group
- Administrator
- Posts
- 4,519
- Location
- Poggio Mirteto(RI)
- Status
- Anonymous
|
|
Strano che con i dns telecom esca ancora la pagina.
Devi comunque resettare i browser.
il popup esce su tutti i siti o solo su alcuni in particolare?
Mi puoi allegare un log aggiornato di Farbar recovery scan tool.
Basta solo frst.txt
Edited by vicky67 - 1/2/2015, 17:53
|
|
|
| .
|
51 replies since 30/1/2015, 11:52 12924 views
.
.
